校園網(wǎng)絡(luò)安全認(rèn)證接入方案設(shè)計(jì)與實(shí)現(xiàn)(新模板)

PAGE網(wǎng)絡(luò)方向?qū)W年設(shè)計(jì)任務(wù)書學(xué)院計(jì)算機(jī)與信息工程學(xué)院專業(yè)計(jì)算機(jī)科學(xué)與技術(shù)課程名稱網(wǎng)絡(luò)方向?qū)W年設(shè)計(jì)題目校園網(wǎng)絡(luò)安全認(rèn)證接入方案設(shè)計(jì)與實(shí)現(xiàn)完成期限自2013年6月3日內(nèi)容及任務(wù)一、項(xiàng)目的目的了解三層網(wǎng)絡(luò)設(shè)計(jì)模型，掌握校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方法二、項(xiàng)目任務(wù)的主要內(nèi)容和要求1.了解三層網(wǎng)絡(luò)設(shè)計(jì)模型，掌握網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方法；2.了解交換機(jī)、路由器、服務(wù)器、防火墻、入侵檢測、行為審計(jì)以及流量控制等設(shè)備的選型方法，并根據(jù)需求進(jìn)行選型；3.了解傳統(tǒng)校園網(wǎng)服務(wù)的工作原理，設(shè)計(jì)實(shí)現(xiàn)DHCP、DNS、WEB、NAT等的服務(wù)配置；4.掌握校園網(wǎng)絡(luò)安全接入控制的主要方法，實(shí)現(xiàn)802.1X認(rèn)證方式部署、DHCP安全管理等；5.設(shè)計(jì)三層校園網(wǎng)拓?fù)浣Y(jié)構(gòu)，包括：核心、匯聚、接入層網(wǎng)絡(luò)設(shè)備，提供傳統(tǒng)應(yīng)用的服務(wù)節(jié)點(diǎn)，校園網(wǎng)出口。6.完成設(shè)備配置及測試；三、項(xiàng)目設(shè)計(jì)（研究）思路1.設(shè)計(jì)步驟首先進(jìn)行需求分析，根據(jù)實(shí)際情況繪出網(wǎng)絡(luò)設(shè)計(jì)拓?fù)洌纬沙醪降娜龑泳W(wǎng)絡(luò)設(shè)計(jì)，并以此為基礎(chǔ)繪制仿真拓?fù)洌⒃诜抡孳浖袑?shí)現(xiàn)各個(gè)功能，最后對進(jìn)行系統(tǒng)測試。3.設(shè)計(jì)要點(diǎn)根據(jù)需求分析，在仿真軟件中以此實(shí)現(xiàn)各個(gè)模塊的功能，主要實(shí)現(xiàn)各個(gè)服務(wù)器的配置以及2.主要技術(shù)DHCP、IEEE802.1X、虛擬局域網(wǎng)（VLAN）等。四、具體成果形式和要求撰寫學(xué)年設(shè)計(jì)報(bào)告并答辯進(jìn)度安排起止日期工作內(nèi)容06-03~06-04確認(rèn)課題，完成分工；收集資料，設(shè)計(jì)初步方案。06-05~06-07完善三層網(wǎng)絡(luò)并繪制相應(yīng)的拓?fù)鋱D，完成基本設(shè)備的配置。06-08~06-18設(shè)計(jì)實(shí)現(xiàn)DHCP、DNS、WEB等的服務(wù)設(shè)置。06-19~06-29實(shí)現(xiàn)802.1X認(rèn)證方式部署、DHCP、NAT安全管理等。06-29~06-30撰寫學(xué)年設(shè)計(jì)文檔。主要參考資料[1]趙海峰.局域網(wǎng)組網(wǎng)實(shí)訓(xùn)[M].北京：電子工業(yè)出版社，2007年[2]陳偉.數(shù)據(jù)通信與計(jì)算機(jī)網(wǎng)絡(luò)[M].武漢:武漢理工大學(xué)出版社,2004年.[3]劉曉輝.交換機(jī)·路由器·防火墻[M].北京：電子工業(yè)出版社，2007年.[4]（美）MichaelSalvagno.Cisco網(wǎng)絡(luò)設(shè)計(jì)手冊[M].任崢、丁青等譯.北京：電子工業(yè)出版社，2000年.[5]李建民.網(wǎng)絡(luò)設(shè)計(jì)基礎(chǔ)[M].北京：北京希望電子出版社，2000.[6]ThomasA.Maufer.IP技術(shù)基礎(chǔ):編址和路由[M].趙軍鎖等譯.北京:機(jī)械工業(yè)出版社,2000年.[7]蘇英如.局域網(wǎng)技術(shù)與組網(wǎng)工程[M].北京：中國水利水電出版社，2005年.[8]李梅.局域網(wǎng)組建與管理[M].北京：機(jī)械工業(yè)出版社，2006年.指導(dǎo)教師意見（簽字）：×年×月×日系（教研室）主任意見（簽字）：×年×月×日網(wǎng)絡(luò)方向?qū)W年設(shè)計(jì)說明書學(xué)院名稱：計(jì)算機(jī)與信息工程學(xué)院班級名稱：計(jì)科101學(xué)生姓名：張樹建學(xué)號：2010211136題目：校園網(wǎng)絡(luò)安全認(rèn)證接入方案設(shè)計(jì)與實(shí)現(xiàn)指導(dǎo)教師姓名：祁輝起止日期：2013-06-03至2013-06-30目錄第一部分：正文部分 1一、校園網(wǎng)的規(guī)劃 11需求分析 12設(shè)計(jì)目標(biāo) 13設(shè)計(jì)原則 2二、主要技術(shù)概述 31交換機(jī)技術(shù) 32動態(tài)路由協(xié)議 33IEEE802.1x協(xié)議 44網(wǎng)絡(luò)地址轉(zhuǎn)換NAT 4三、設(shè)備選型 5四、總體設(shè)計(jì) 61網(wǎng)絡(luò)總體拓?fù)鋱D 62交換設(shè)計(jì) 73網(wǎng)絡(luò)層次化設(shè)計(jì) 7五、子網(wǎng)劃分和子網(wǎng)編址 91子網(wǎng)劃分 92子網(wǎng)編址 10六、網(wǎng)絡(luò)配置實(shí)現(xiàn) 101設(shè)備的基本配置 102IP地址的配置 103交換部分的配置 104服務(wù)器部分的配置 13七、測試 21八、總結(jié)語 21第二部分：參考文獻(xiàn) 22第三部分：指導(dǎo)教師評語 23第四部分：成績評定 23滁州學(xué)院本科學(xué)年設(shè)計(jì)PAGE24校園網(wǎng)絡(luò)安全認(rèn)證接入方案設(shè)計(jì)與實(shí)現(xiàn)第一部分：正文部分一、校園網(wǎng)的規(guī)劃1需求分析校園網(wǎng)必須能覆蓋整個(gè)校園，包括教學(xué)樓、宿舍樓、圖書館、實(shí)驗(yàn)樓、辦公樓等等，具備通訊、管理、教學(xué)等一個(gè)學(xué)校所需要的功能。教師通過校園網(wǎng)不僅能及時(shí)的掌握學(xué)生的動態(tài)，與學(xué)生及時(shí)的交流，還可以方便快捷的瀏覽與教學(xué)相關(guān)的網(wǎng)頁，查詢網(wǎng)上的資源，能夠及時(shí)的了解現(xiàn)代教育發(fā)展的現(xiàn)狀和本學(xué)科的一些前言知識，更好的進(jìn)行教學(xué)和科研工作；學(xué)生通過校園網(wǎng)不僅能夠及時(shí)的了解學(xué)校發(fā)布的信息、新推出的政策、學(xué)校最近一段時(shí)間的活動，還可以方便的與他人進(jìn)行交流，從網(wǎng)上查詢一些學(xué)習(xí)資料，通過網(wǎng)絡(luò)進(jìn)行網(wǎng)上學(xué)習(xí)，視頻學(xué)習(xí)等，及時(shí)的了解教育方面前沿的信息，擴(kuò)充自己的知識面，開闊視野；學(xué)校的管理人員通過校園網(wǎng)可以方便地對教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財(cái)務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時(shí)可以實(shí)現(xiàn)各級管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動化，實(shí)現(xiàn)信息和設(shè)備資源的共享。校園網(wǎng)還應(yīng)實(shí)現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機(jī)應(yīng)具有很高的包交換速度，整個(gè)網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。2設(shè)計(jì)目標(biāo)=1\*GB2⑴最基本的目標(biāo)是：=1\*GB3①建設(shè)校園網(wǎng)絡(luò)中心，并通過一定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建連接校園網(wǎng)絡(luò)中心、計(jì)算機(jī)教室、實(shí)驗(yàn)室、教學(xué)樓、辦公樓、學(xué)生宿舍樓、圖書館等的校園網(wǎng)，使之能通過一定的應(yīng)用軟件完成行政辦公管理、教師備課授課、學(xué)生學(xué)習(xí)交流、校內(nèi)信息公告、遠(yuǎn)程電子通訊等基本功能=2\*GB3②構(gòu)建普通學(xué)校校內(nèi)Internet環(huán)境，并通過代理服務(wù)器接入Internet，實(shí)現(xiàn)與Internet交流，實(shí)現(xiàn)廣泛的軟件、硬件資源共享，如網(wǎng)上沖浪、電子郵件、文件傳輸、遠(yuǎn)程登錄、存儲數(shù)據(jù)及論壇討論等。=2\*GB2⑵校園網(wǎng)系統(tǒng)高可靠性在考慮現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上,整個(gè)業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的拓?fù)浣Y(jié)構(gòu)盡量采用穩(wěn)定可靠的結(jié)構(gòu)形式,以保證整個(gè)網(wǎng)絡(luò)的高可靠性。網(wǎng)絡(luò)設(shè)備和整個(gè)網(wǎng)絡(luò)系統(tǒng)必須具備高可靠性特征。=3\*GB2⑶校園網(wǎng)系統(tǒng)高穩(wěn)定性其中核心交換機(jī)采用高性能,為整個(gè)校園網(wǎng)提供真正的高速無阻塞的傳輸,保證全線速交換；不僅硬件實(shí)現(xiàn)三層路由和交換，關(guān)鍵功能均通過硬件實(shí)現(xiàn),極大程度上提高了數(shù)據(jù)處理能力；而管理交換引擎、電源等關(guān)鍵部件的冗余,實(shí)現(xiàn)了系統(tǒng)高穩(wěn)定性和可靠性[1]。=4\*GB2⑷校園網(wǎng)系統(tǒng)可擴(kuò)展性網(wǎng)絡(luò)系統(tǒng)應(yīng)以開放性為基礎(chǔ),具有廣泛的適應(yīng)性和可擴(kuò)充性,作為一個(gè)骨干網(wǎng)的核心,下面的一些新的應(yīng)用將不斷增加,系統(tǒng)的容量也將隨之?dāng)U展,因此方案應(yīng)具有良好的可擴(kuò)充性適應(yīng)系統(tǒng)不斷增長的需求[2]。=5\*GB2⑸校園網(wǎng)系統(tǒng)可維護(hù)性整個(gè)業(yè)務(wù)網(wǎng)必須具備良好的可管理性,網(wǎng)管系統(tǒng)應(yīng)具有監(jiān)測、故障診斷、故障隔離、過濾設(shè)置等功能,以便于系統(tǒng)的管理和維護(hù)。同時(shí)應(yīng)盡可能選取集成度高、模塊化、可通用的產(chǎn)品,以便于管理和維護(hù)。3設(shè)計(jì)原則=1\*GB2⑴先進(jìn)性技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率、系統(tǒng)工作的靈活性、網(wǎng)絡(luò)的可靠性，技術(shù)上的先進(jìn)性也使系統(tǒng)的擴(kuò)充和維護(hù)變得十分簡單。=2\*GB2⑵實(shí)用性課題的設(shè)計(jì)既要在相當(dāng)長的時(shí)間內(nèi)保證其先進(jìn)性，還應(yīng)本著實(shí)用的原則，在實(shí)用的基礎(chǔ)上追求先進(jìn)性，使系統(tǒng)便于聯(lián)網(wǎng)，實(shí)現(xiàn)信息資源共享。易于維護(hù)管理，具有廣泛兼容性，同時(shí)為適應(yīng)我國實(shí)際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。=3\*GB2⑶經(jīng)濟(jì)性

在完成系統(tǒng)目標(biāo)的基礎(chǔ)上，力爭用最少的錢辦最多的事，創(chuàng)造出最大的使用效益=4\*GB2⑷安全性目前，計(jì)算機(jī)網(wǎng)絡(luò)都與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國際互連網(wǎng)連接。因此，在系統(tǒng)方案設(shè)計(jì)需考慮到系統(tǒng)的可靠性、信息安全性和保密性的要求。=5\*GB2⑸易于擴(kuò)展性由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，應(yīng)選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加的設(shè)備，而只需要增加一定數(shù)量的模塊就行。=6\*GB2⑹安全、穩(wěn)定、可靠作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的最基本條件。最好是經(jīng)過相當(dāng)長時(shí)間，在世界范圍內(nèi)被廣泛應(yīng)用的網(wǎng)絡(luò)產(chǎn)品，所以在選擇產(chǎn)品時(shí)選用國際知名廠商的產(chǎn)品。=7\*GB2⑺管理和維護(hù)方便先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)的方法，才能夠發(fā)揮最大的作用。所以，在選擇設(shè)備時(shí)必須支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，便于管理人員的維護(hù)。二、主要技術(shù)概述1交換機(jī)技術(shù)VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。=1\*GB2⑴提高管理效率。當(dāng)網(wǎng)絡(luò)中站點(diǎn)出現(xiàn)了移動、增加和移出時(shí)，網(wǎng)絡(luò)管理員可以十分方便的對VLAN進(jìn)行重組。=2\*GB2⑵抑制廣播數(shù)據(jù)。當(dāng)集線器或一般交換機(jī)組建局域網(wǎng)時(shí)，第二層廣播數(shù)據(jù)將被傳送到集線器或一般交換機(jī)的所有接口，進(jìn)而傳到所有用戶，這樣勢必耗費(fèi)大量的網(wǎng)絡(luò)資源。雖然用路由器對網(wǎng)絡(luò)進(jìn)行分段可以減少廣播數(shù)據(jù)（路由器一般不在接口間轉(zhuǎn)發(fā)廣播數(shù)據(jù)），但傳輸會延遲會增加。而VLAN可以有效的抑制廣播數(shù)據(jù)，某個(gè)VLAN中的廣播數(shù)據(jù)只是被復(fù)制到其成員所連接的端口。這實(shí)際上是為在交換型網(wǎng)絡(luò)中建立起同路由器功能類似的防火墻提供了一種有效的手段。在VLAN中，大部分?jǐn)?shù)據(jù)都是通過交換機(jī)轉(zhuǎn)發(fā)的，只有VLAN間的數(shù)據(jù)才需經(jīng)過路由器轉(zhuǎn)發(fā)，可有效地提高VLAN中大部分?jǐn)?shù)據(jù)的傳輸速度。=3\*GB2⑶增強(qiáng)網(wǎng)絡(luò)安全性。將整個(gè)網(wǎng)絡(luò)劃分成若干互相獨(dú)立的廣播組是一種有效的增強(qiáng)網(wǎng)絡(luò)安全性的方法?？梢韵拗颇硞€(gè)VLAN中的用戶數(shù)量，可以禁止那些沒有得到許可的用戶加入到某個(gè)VLAN中。這樣,VLAN就可以提供一道防火墻，以控制用戶對網(wǎng)絡(luò)資源的訪問，控制廣播組的大小和構(gòu)成，并借助于網(wǎng)管軟件在非法入侵發(fā)生時(shí)通知網(wǎng)管人員。=4\*GB2⑷實(shí)現(xiàn)虛擬工作組。在整個(gè)園區(qū)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)VLAN后，同一個(gè)部門的所有成員將可以像處于同一個(gè)LAN上那樣進(jìn)行通信。當(dāng)某人從一個(gè)場地遷移到另一個(gè)場地時(shí)，只要其工作部門不變，就用不著對其機(jī)器進(jìn)行重新配置。與此類似，如果某人改變了工作部門，可以不改變工作地點(diǎn)，只需網(wǎng)管人員修改其VLAN成員身份即可[3]。一般的交換機(jī)端口只能屬于一個(gè)VLAN，對于多個(gè)VLAN需要跨過多臺交換機(jī)，就需要用到Trunk技術(shù)。Trunk是指交換機(jī)之間或交換機(jī)與路由器之間VLAN之間的連接，VLAN信息通過Trunk在交換機(jī)之間或路由器之間傳遞，從而可以將VLAN跨越整個(gè)網(wǎng)絡(luò)，而不僅僅是局限在一臺交換機(jī)上。2動態(tài)路由協(xié)議動態(tài)路由協(xié)議采用自適應(yīng)路由算法，能夠根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓匦掠?jì)算機(jī)最佳路由。由于路由的復(fù)雜性，路由算法也是分層次的，通常把路由協(xié)議（算法）劃分為自治系統(tǒng)(AS)內(nèi)的IGP(InteriorGatewayProtocol)與自治系統(tǒng)之間EGP(ExternalGatewayProtocol)的路由協(xié)議。3IEEE802.1x協(xié)議IEEE802.1x是一個(gè)基于端口的網(wǎng)絡(luò)訪問控制協(xié)議，該協(xié)議的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而實(shí)現(xiàn)認(rèn)證與業(yè)務(wù)的分離，保證了網(wǎng)絡(luò)傳輸?shù)男?。IEEE802系列局域網(wǎng)（LAN）標(biāo)準(zhǔn)占據(jù)著目前局域網(wǎng)應(yīng)用的主要份額，但是傳統(tǒng)的IEEE802體系定義的局域網(wǎng)不提供接入認(rèn)證，只要用戶能接入集線器、交換機(jī)等控制設(shè)備，用戶就可以訪問局域網(wǎng)中其他設(shè)備上的資源，這是一個(gè)安全隱患，同時(shí)也不便于實(shí)現(xiàn)對局域網(wǎng)接入用戶的管理。IEEE802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在局域網(wǎng)設(shè)備的物理接入級對接入設(shè)備（主要是計(jì)算機(jī)）進(jìn)行認(rèn)證和控制。連接在交換機(jī)端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)內(nèi)的資源，也可以接入外部網(wǎng)絡(luò)（如Internet）；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)內(nèi)部的資源，同樣也無法接入Internet，相當(dāng)于物理上斷開了連接。IEEE802.1x協(xié)議采用現(xiàn)有的可擴(kuò)展認(rèn)證協(xié)議（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP協(xié)議的擴(kuò)展，最早是為解決基于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)的認(rèn)證而開發(fā)的。雖然IEEE802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是在實(shí)際應(yīng)用中該協(xié)議僅適用于接入設(shè)備與接入端口間的點(diǎn)到點(diǎn)的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應(yīng)用方式有兩種：一種是以太網(wǎng)交換機(jī)的一個(gè)物理端口僅連接一個(gè)計(jì)算機(jī)；另一種是基于無線局域網(wǎng)（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機(jī)都支持IEEE802.1x協(xié)議。4網(wǎng)絡(luò)地址轉(zhuǎn)換NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(NetworkAddressTranslation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。借助于NAT，私有(保留)地址的"內(nèi)部"網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP地址(甚至是1個(gè))即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。NAT將自動修改IP報(bào)文的源IP地址和目的IP地址，Ip地址校驗(yàn)則在NAT處理過程中自動完成。NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換(StaticNat)、動態(tài)轉(zhuǎn)換(DynamicNat)和端口多路復(fù)(OverLoad)。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。端口多路復(fù)用PAT(PortaddressTranslation)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換PAT。采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。三、設(shè)備選型設(shè)備選擇的原則[4]：=1\*GB2⑴安全、穩(wěn)定、可靠：作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的最基本條件。=2\*GB2⑵技術(shù)先進(jìn)性：在選擇網(wǎng)絡(luò)設(shè)備應(yīng)該采用當(dāng)今較先進(jìn)的技術(shù)，能夠保持該設(shè)備在相當(dāng)長的一段時(shí)間內(nèi)不會因?yàn)榧夹g(shù)落后而被淘汰。同時(shí)，在網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大，該設(shè)備不能承擔(dān)繁重的負(fù)荷時(shí)，能夠降級使用。=3\*GB2⑶易于擴(kuò)展性：由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，應(yīng)選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加的設(shè)備，而只需要增加一定數(shù)量的模塊就行。=4\*GB2⑷管理和維護(hù)方便：先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)的方法，才能夠發(fā)揮最大的作用。所以，在選擇設(shè)備時(shí)必須支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，便于管理人員的維護(hù)。設(shè)備選型如表3-1所示：表3-1設(shè)備選型名稱型號數(shù)量路由器Cisco28111核心層交換機(jī)Cisco\o"思科WS-C3560-24PS-E"WS-C3560-24PS-E2匯聚層交換機(jī)CiscoWS-3550-242接入層交換機(jī)Cisco29605防火墻CiscoASA5520-K81DNS服務(wù)器IBMX3650M31WEB服務(wù)器IBMX3650M31DHCP服務(wù)器IBMX36501Radius服務(wù)器IBMX3650M31四、總體設(shè)計(jì)1網(wǎng)絡(luò)總體拓?fù)鋱D整個(gè)校園網(wǎng)的信息點(diǎn)都可接入Internet，Internet通過校園外部的路由器進(jìn)入到整個(gè)校園的核心交換機(jī)上，再經(jīng)核心交換機(jī)分別接入到每棟樓的交換機(jī)。各大樓之間可互聯(lián)互通，每棟樓有一個(gè)總交換機(jī)連接每一層的交換機(jī)，層交換機(jī)再經(jīng)連接到每個(gè)房間的交換機(jī)，每個(gè)房間的所有信息點(diǎn)連接到這個(gè)房間的交換機(jī)上。這樣整個(gè)校園的網(wǎng)絡(luò)結(jié)構(gòu)基本完成。如圖4-1所示：圖4-1網(wǎng)絡(luò)總體拓?fù)鋱D2交換設(shè)計(jì)考慮到校園網(wǎng)絡(luò)的實(shí)際需求，設(shè)計(jì)時(shí)，保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性至關(guān)重要，保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。同時(shí)各分支交換機(jī)兩臺上聯(lián)千兆線路分別上連到兩臺核心路由交換機(jī)上，構(gòu)成全路由交換的網(wǎng)絡(luò)；借助于跨骨干的VLAN技術(shù)，使得對網(wǎng)絡(luò)內(nèi)有關(guān)Server的訪問變得更加安全有效。3網(wǎng)絡(luò)層次化設(shè)計(jì)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級方法被稱為“多層設(shè)計(jì)”。多層設(shè)計(jì)有以下一些好處：多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。多層網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過程中進(jìn)行故障查找和排除非常簡單。多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3層業(yè)務(wù)，包括分段、負(fù)載分擔(dān)和故障恢復(fù)等。在多層網(wǎng)絡(luò)中運(yùn)用智能第3層業(yè)務(wù)可以大大減少因配置不當(dāng)或設(shè)備故障引起的一般問題。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。針對實(shí)際情況采用三層結(jié)構(gòu)模型。三層機(jī)構(gòu)模型劃分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。=1\*GB2⑴核心層：核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速，可靠的進(jìn)行數(shù)據(jù)交換。=2\*GB2⑵匯聚層：分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進(jìn)行訪問控制。包括訪問控制列表、VLAN路由等等。=3\*GB2⑶接入層：接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN的劃分、與分布層的連接等等。核心交換區(qū)的作用是盡快地提供所有區(qū)域間的數(shù)據(jù)交換。兩臺交換機(jī)高性能、可靠性、可用性是主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。Cisco系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量、可預(yù)測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。Cisco系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營開支，提高了投資回報(bào)，從而在延長部署壽命的同時(shí)降低了擁有成本。方案中交換機(jī)配置了一塊引擎，引擎用于Cisco交換機(jī)機(jī)箱，是一款64Gbps、4800萬分組/秒（48mpps）的第二到四層交換引擎，直接在管理引擎面板上配備了2個(gè)線速GBIC端口。該引擎可為中型企業(yè)提供價(jià)格合理、易于使用的可擴(kuò)展性、創(chuàng)新安全性、集成可靠性和靈活性。匯聚層主要負(fù)責(zé)匯集分散的接入點(diǎn)進(jìn)行數(shù)據(jù)交換，提供流量控制和用戶管理功能，作為校園網(wǎng)的業(yè)務(wù)提供層面，它是使校園網(wǎng)可運(yùn)營、可管理的最重要組成部分。匯聚層設(shè)備是用戶管理的基本設(shè)備，也是保證校園網(wǎng)承載和業(yè)務(wù)安全的基本屏障，更是保障校園網(wǎng)安全性能的關(guān)鍵[5]。Cisco提供12個(gè)千兆位以太網(wǎng)SFP端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機(jī)和中心核心機(jī)房的交換機(jī)。接入層交換機(jī)采用思科的千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動化服務(wù)器、郵件服務(wù)器、DHCP服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器，連接到匯聚交換機(jī)的千兆模塊上面，因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。五、子網(wǎng)劃分和子網(wǎng)編址1子網(wǎng)劃分子網(wǎng)網(wǎng)段劃分一般依據(jù)以下幾條原則進(jìn)行：=1\*GB2⑴將需要對外開放的服務(wù)器劃分到同網(wǎng)段，并分配給合法的IP地址；=2\*GB2⑵將各網(wǎng)絡(luò)設(shè)備劃分到專業(yè)的網(wǎng)段，并分配個(gè)合法的IP地址；=3\*GB2⑶將不對外開放的服務(wù)器劃分到不同的網(wǎng)段，其地址對外隱蔽；=4\*GB2⑷盡量將分屬于不同部門的機(jī)器劃分到不同的網(wǎng)段，便于管理；=5\*GB2⑸子網(wǎng)的劃分應(yīng)使IP地址管理較為簡單。使用可變長子網(wǎng)掩碼，合理分配IP地址[6]。對校園網(wǎng)IP地址分配建議采用如下規(guī)劃原則：=1\*GB2⑴網(wǎng)絡(luò)系統(tǒng)的編址方案利用CIDR（無類型域間選路）和可變長子網(wǎng)掩碼技術(shù),并支持IPv6；=2\*GB2⑵在整個(gè)網(wǎng)絡(luò)環(huán)境中必須保持IP地址的唯一性；=3\*GB2⑶為提高路由處理效率,實(shí)現(xiàn)理想的路由匯總，縮減路由表項(xiàng)數(shù)，盡量為同一網(wǎng)絡(luò)分配連續(xù)地址；=4\*GB2⑷地址分配具有層次性,便于管理,局部的變動不影響網(wǎng)絡(luò)的其他部分；=5\*GB2⑸為了滿足不斷增長的IP地址需求，并實(shí)現(xiàn)與其他網(wǎng)絡(luò)互聯(lián)和內(nèi)部子網(wǎng)互聯(lián)的有效控制和管理，建議校園網(wǎng)采用內(nèi)部保留地址,給將來的網(wǎng)絡(luò)發(fā)展留下充分的余地。校園網(wǎng)VLAN的劃分應(yīng)從網(wǎng)絡(luò)的高效性、安全性和靈活性等多方面綜合考慮。一些部門由于安全性和信息實(shí)時(shí)處理的需要，強(qiáng)調(diào)網(wǎng)絡(luò)的高效性和安全性；另一些部門，由于物理端口可能會經(jīng)常變動，要求網(wǎng)絡(luò)配置具有較高的靈活性，而不同的VLAN劃分機(jī)制又各有其優(yōu)缺點(diǎn)，因此，應(yīng)該根據(jù)實(shí)際情況考慮多種VLAN劃分機(jī)制及安全策略配合使用，使整個(gè)網(wǎng)絡(luò)性能及安全達(dá)到最優(yōu)。針對內(nèi)部VLAN之間的路由瓶頸造成的網(wǎng)絡(luò)性能問題。采用第三層交換機(jī)做為校園網(wǎng)核心交換機(jī)，取代傳統(tǒng)路由器進(jìn)行內(nèi)部VLAN之間的路由。同時(shí)通過對核心交換機(jī)和二級交換機(jī)之間直接相連的端口配置標(biāo)記(Tag)封裝，實(shí)現(xiàn)了對整個(gè)校園網(wǎng)跨交換機(jī)的VLAN劃分和配置。虛擬局域網(wǎng)規(guī)劃中采用基于端口和基于IP子網(wǎng)兩種方式相結(jié)合的VLAN劃分方案。在設(shè)計(jì)VLAN時(shí)，盡可能地將同一工作性質(zhì)的節(jié)點(diǎn)劃分在同一VLAN內(nèi)，以減少跨VLAN訪問，提高網(wǎng)絡(luò)的效率。通過給每個(gè)VLAN分配相對固定的靜態(tài)端口，來防止非授權(quán)節(jié)點(diǎn)在該虛擬子網(wǎng)中出現(xiàn)。提高了重要網(wǎng)絡(luò)資源及撥號上網(wǎng)用戶的安全性。定義VLAN后，還需在核心交換機(jī)上進(jìn)行VLAN之間通信的路由配置。首先給各個(gè)VLAN配置一個(gè)相應(yīng)的網(wǎng)關(guān)地址，然后在交換機(jī)上創(chuàng)建VLAN之間的靜態(tài)路由表。也可以通過核心交換機(jī)支持的RIP(V2)和OSPF等標(biāo)準(zhǔn)的路由協(xié)議來配置動態(tài)路由。核心交換機(jī)支持VLAN間的線速路由。從而可保證子網(wǎng)間信息交換的效率[7]。2子網(wǎng)編址子網(wǎng)也就是某一個(gè)機(jī)構(gòu)擁有的地址大于它實(shí)際需求的，也就會產(chǎn)生多余的IP地址，以免浪費(fèi)，也為更方便管理，將大網(wǎng)絡(luò)細(xì)分，也就是子網(wǎng)。編址即給每個(gè)地址編上一個(gè)序號，即子網(wǎng)編址。某個(gè)網(wǎng)點(diǎn)有N(N>=2）個(gè)物理網(wǎng)絡(luò)，僅本地路由器知道有多個(gè)物理網(wǎng)絡(luò)，知道如何在其中選擇路由；對其他自治系統(tǒng)的路由來說，好像只存在一個(gè)物理網(wǎng)絡(luò)。減少網(wǎng)絡(luò)地址數(shù)目可多個(gè)物理網(wǎng)絡(luò)共享同一個(gè)IP地址前綴。IP的子網(wǎng)編址解決了IP編址的諸多問題例如：路由表急劇膨脹；地址管理的開銷大；用網(wǎng)橋連接不方便網(wǎng)絡(luò)的管理；地址數(shù)目過大造成浪費(fèi)，而地址空間日漸緊縮。六、網(wǎng)絡(luò)配置實(shí)現(xiàn)1設(shè)備的基本配置在對設(shè)備進(jìn)行具體的配置之前都要進(jìn)行一些基本命令的配置，比如說給每臺設(shè)備定義一個(gè)不同的名稱，這樣方便在同時(shí)開啟了多臺設(shè)備的時(shí)候能夠迅速找到需要配置的設(shè)備；關(guān)閉域名解析可以防止敲錯(cuò)命令的時(shí)候系統(tǒng)自動進(jìn)行域名解析耽誤時(shí)間；開啟日志同步可以讓輸入的命令不被控制臺信息所覆蓋。2IP地址的配置在交換機(jī)上配置IP地址的時(shí)候首先需要使用noswitchport命令開啟交換機(jī)的三層路由功能，在這里給每個(gè)設(shè)備配置一個(gè)接口用于管理設(shè)備。3交換部分的配置只有將設(shè)備相連的鏈路封裝成Trunk鏈路VTP中繼協(xié)議才能將VLAN信息同步到其它設(shè)備，而且Trunk鏈路可以傳遞多個(gè)VLAN的信息。Trunk鏈路有兩種封裝協(xié)議802.1q和ISL，ISL是Cisco專有的協(xié)議，而802.1q是業(yè)界的標(biāo)準(zhǔn)協(xié)議，為了兼容性和穩(wěn)定性應(yīng)該選擇802.1q協(xié)議[8]。Switch(config)#intrangef0/1-5Switch(config-if-range)#switchportmodetrunkSwitch(config-if-range)#switchporttrunkencapsulationdot1q匯聚層交換機(jī)的VLAN的配置如下：Switch(config)#VLAN2Switch(config-VLAN)#namejxlSwitch(config)#VLAN3Switch(config-VLAN)#nametsgSwitch(config)#VLAN4Switch(config-VLAN)#namesylSwitch(config)#VLAN5Switch(config-VLAN)#namessl各個(gè)VLAN的網(wǎng)關(guān)并指定DHCP服務(wù)器地址配置：Switch(config)#intVLAN2Switch(config-if)#ipadd54Switch(config-if)#noshut Switch(config-if)#intVLAN3Switch(config-if)#ipadd54Switch(config-if)#noshutSwitch(config-if)#iphelper-address1Switch(config-if)#intVLAN4Switch(config-if)#ipadd54Switch(config-if)#noshutSwitch(config-if)#iphelper-address1Switch(config-if)#intVLAN5Switch(config-if)#ipadd54Switch(config-if)#noshutSwitch(config-if)#iphelper-address1Switch(config-if)#intVLAN10Switch(config-if)#ipadd54Switch(config-if)#noshutSwitch(config-if)#iphelper-address1Switch(config-if)#exit同時(shí)，另一個(gè)匯聚層交換機(jī)的配置與之相同。至此，基本完成匯聚層的主要命令配置。接入層交換機(jī)的主要配置：Switch(config)#intrangef0/1-2Switch(config-if)#switchportmodetrunkSwitch(config-if)#intrangef0/3-4Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessVLAN2Switch(config)#intf0/2Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitymac-address00-11-22-33-44-55Switch(config-if)#switchportport-securitymaximum1Switch(config-if)#switchportport-securityviolationshutdownSwitch(config-if)#intf0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitymac-address00-90-f5-10-79-c1Switch(config-if)#switchportport-securitymaximum1Switch(config-if)#switchportport-securityviolationshutdownSwitch(config-if)#exit其余接入層交換機(jī)配置與上述內(nèi)容相似，完成接入層交換機(jī)的配置?，F(xiàn)在對支持IEEE802.1x認(rèn)證協(xié)議的交換機(jī)進(jìn)行配置，使它能夠接授用戶端的認(rèn)證請求，并將請求轉(zhuǎn)發(fā)給RADIUS服務(wù)器進(jìn)行認(rèn)證，最后將認(rèn)證結(jié)果返回給用戶端。在拓?fù)鋱D中：RADIUS認(rèn)證服務(wù)器的IP地址為0/24需要認(rèn)證的計(jì)算機(jī)接在交換機(jī)的FastEthernet0/5端口上,因此我們實(shí)驗(yàn)時(shí)只對FastEthernet0/5端口進(jìn)行認(rèn)證，其他端口可不進(jìn)行設(shè)置。具體操作如下：使用Console口登陸交換機(jī)，設(shè)置交換機(jī)的管理IP地址:Cisco2960>enableCisco2960#configureterminalCisco2960(config)#interfaceVLAN9Cisco2960(config-if)#ipaddressCisco2960(config-if)#noshutdownCisco2960(config-if)#endCisco2960#copyrunstart在交換機(jī)上啟用AAA認(rèn)證:Cisco2960#configureterminalCisco2960(config)#aaanew-model(啟用AAA認(rèn)證)Cisco2960(config)#aaaauthenticationdot1xdefaultgroupradius(啟用dot1x認(rèn)證)Cisco2960(config)#dot1xsystem-auth-control(啟用全局dot1x認(rèn)證)指定RADIUS服務(wù)器的IP地址和交換機(jī)與RADIUS服務(wù)器之間的共享密鑰:Cisco2960(config)#radius-serverhostkeyzhang(設(shè)置驗(yàn)證服務(wù)器IP及密鑰)Cisco2960(config)#radius-serverretransmit3(設(shè)置與RADIUS服務(wù)器嘗試連接次數(shù)為3次)配置交換機(jī)的認(rèn)證端口，可以使用interfacerange命令批量配置端口，這里我們只對FastEthernet0/5啟用IEEE802.1x認(rèn)證:Cisco2960(config)#interfacefastEthernet0/5Cisco2960(config-if)#switchportmodeaccess(設(shè)置端口模式為access)Cisco2960(config-if)#dot1xport-controlauto(設(shè)置802.1x認(rèn)證模式為自動)Cisco2960(config-if)#dot1xtimeoutquiet-period10(設(shè)置認(rèn)證失敗重試時(shí)間為10秒)Cisco2960(config-if)#dot1xtimeoutreauth-period30(設(shè)置認(rèn)證失敗重連時(shí)間為30秒)Cisco2960(config-if)#dot1xreauthentication(啟用802.1x認(rèn)證)Cisco2960(config-if)#spanning-treeportfast(開啟端口portfast特性)Cisco2960(config-if)#endCisco2960#copyrunstart計(jì)費(fèi)的配置:Cisco2960#configureterminalCisco2960(config)#aaaaccountingserverCisco2960(config)#aaaaccountingserverbackupCisco2960(config)#aaaaccountingacc-port1813Cisco2960(config)#aaaaccountingCisco2960(config)#end4服務(wù)器部分的配置RADIUS服務(wù)器通常是基于數(shù)據(jù)庫來實(shí)現(xiàn)的，在這里使用IC-RADIUS與mySQL配合建立RADIUS服務(wù)器的方案。首先安裝配置好Linux的基本系統(tǒng)，需要安裝開發(fā)工具、Perl、PerlDBI和mySQLDBD模塊，當(dāng)然還必須安裝mySQL數(shù)據(jù)庫。這里我們假設(shè)把數(shù)據(jù)庫和RADIUS服務(wù)放在同一臺服務(wù)器上。現(xiàn)在幾乎每個(gè)Linux發(fā)行版本里都包含mySQL，所以可以直接安裝到系統(tǒng)里。具體步驟如下：=1\*GB2⑴安裝和配置ICRADIUS輸入以下命令#tarxvfzicradius-0.18.1.tar.gz#cdicradius-0.18.1/src然后拷貝針對Linux的Make文件Makefile.lnx為Makefile，命令如下：cpMakefile.lnxMakefile這里需要注意的是有可能需要修改Makefile文件，把mySQL庫、頭文件的位置根據(jù)實(shí)際安裝的情況加以修改。對于可執(zhí)行文件的安裝位置也可以修改。運(yùn)行如下命令#make#makeinstall=2\*GB2⑵創(chuàng)建RADIUS數(shù)據(jù)庫連接mysql數(shù)據(jù)庫，命令如下#mysql-uroot-pyourpassword>CREATEDATABASEradius;（創(chuàng)建radius數(shù)據(jù)庫）然后創(chuàng)建RADIUS數(shù)據(jù)庫需要的各個(gè)表格，這里要使用icradius-0.18.1目錄下script子目錄中的radius.db文件，該文件已經(jīng)定義了所需要的各個(gè)表格，這里只要使用命令：#mysql-uroot-pyourpasswordradius<radius.db即可。這時(shí)就創(chuàng)建了Radius認(rèn)證和計(jì)費(fèi)所需要的各個(gè)表格，如下表：表5-1創(chuàng)建RADIUS認(rèn)證計(jì)費(fèi)所需要的表名稱作用dictionary定義了在RADIUS消息中的屬性及屬性值和其數(shù)字ID的對應(yīng)關(guān)系，還定義了每個(gè)屬性值得數(shù)據(jù)類型。nas定義了該RADIUS管理的訪問服務(wù)器的信息，如其IP地址和設(shè)備名稱等。radacct保存記賬信息。radacct_summary保存記賬信息。racichock定義了當(dāng)用戶接入時(shí)需要檢查的屬性，如密碼和時(shí)間限制等。radgroupcheck定義了某個(gè)組的成員在接入時(shí)，需要檢查的公共屬性（每個(gè)用戶都可以屬于某一個(gè)組）。radgroupproply定義了該組成員在接入驗(yàn)證通過以后，在應(yīng)答信息內(nèi)需要定義的屬性及其對應(yīng)的屬性值。radreply定義了成員在接入驗(yàn)證通過后，在應(yīng)答信息內(nèi)需要定義的屬性及其對應(yīng)的屬性值。realmgroup定義了用戶和組的關(guān)系。=3\*GB2⑶填充各個(gè)表格向上面創(chuàng)建的各個(gè)數(shù)據(jù)庫的表中添加內(nèi)容。對于dictionary表的內(nèi)容，icradius軟件提供了一個(gè)腳本文件script/dictimport.pl來創(chuàng)建，步驟如下。編輯該文件，修改my$dbusername=root;my$dbpassword=yourpassword;為對應(yīng)的數(shù)據(jù)庫管理員的用戶名和密碼，命令如下:#./dictimport.pl../raddb/dictionary如果使用Cisco路由器，還需要加載Cisco的dictionary文件，命令如下：#./dictimport.pl../raddb/dictionary.cisco向nas表格中添加內(nèi)容，先進(jìn)入mysql：#mysql-uroot-pyourpasswordradius執(zhí)行SQL語言命令如下：insertintonasvalues(0,"cisconas","nas","50","cisco",32,"cisco","public","on");srcipts目錄下的radius.cgi是一個(gè)實(shí)現(xiàn)Web界面管理用戶及記費(fèi)信息的CGI程序，但是要在使用該腳本程序以前，首先要在radcheck表格中添加如下內(nèi)容：INSERTINTOradcheckVALUES("","admin","Password","adminpassword");INSERTINTOradcheckVALUES("","admin","Radius-Operator","Yes");這里，admin為RADIUS管理員的用戶名，adminpassword為管理員的密碼。將radius.cgi和usage.cgi拷貝到Web服務(wù)器的cgi-bin目錄下，再編輯這兩個(gè)文件，正確的設(shè)定數(shù)據(jù)庫管理員的用戶名和密碼。最后指定兩個(gè)文件中的$cookiedomain及$radhost為空。兩個(gè)文件中的$radsecret指定為NAS和RADIUS共享的密碼。=3\*GB2⑶配置啟動radiusd=1\*GB3①在/etc/目錄下創(chuàng)建子目錄raddb#mkdir/etc/raddb②在該目錄下創(chuàng)建文件client，并設(shè)定其訪問權(quán)限：#touchclients#chmod664clients③把icradius-0.18.1/raddb/目錄下的radiusd.conf拷貝到/etc/raddb目錄下：#cp~/icradius-0.18.1/raddb/radius.conf/etc/raddb/④把~/icradius-0.18.1/raddb/中的所有文件拷貝到/etc/raddb目錄中。其中在~/icradius-0.18.1/redhat/目錄下有一個(gè)名為rc.radiusd-redhat的文件，它是redhat環(huán)境下radiusd的啟動文件，將其拷貝到/etc/rc.d/init.d目錄下：#cp~/icradius-0.18.1/redhat/rc.radiusd-redhat/etc/rc.d/init.d/rc.radiusd⑤編輯文件/etc/raddb/radius.conf文件，password后面修改為mysql的管理員密碼。⑥編輯文件/etc/rc.d/init.d/rc.radius，把如下內(nèi)容：RADIUSD=/usr/sbin/radiusdWATCHER=/usr/sbin/radwatch修改為（缺省安裝時(shí)）RADIUSD=/usr/local/sbin/radiusdWATCHER=/usr/local/sbin/radwatch⑦拷貝~/icradius-0.18.1/scripts目錄下的radwatch到/usr/local/sbin目錄下?？截悀/icradius-0.18.1/scripts目錄下的radiusd.cron.daily到/etc/cron.daily/目錄下?？截悀/icradius-0.18.1/scripts目錄下的radiusd.cron.monthly到/etc/cron.daily/目錄下。⑧啟動radiusd，命令如下/etc/rc.d/init/rc.radiusdstartDHCP服務(wù)器給客戶機(jī)分配的IP在~52、~52、~52、~52、~52、~52、~52、~52之間，并且使用DNS服務(wù)器的地址是0。=1\*GB2⑴首先，配置linuxDHCP服務(wù)器端ip地址：[root@dhcp~]#ifconfigeth00netmask[root@dhcp~]#routeadddefaultgw54=2\*GB2⑵安裝DHCP服務(wù)器軟件包，并查看安裝結(jié)果：[root@dhcp/]#cd/media/RHEL_5.1\i386\DVD/Server/[root@dhcpServer]#rpm-qa|grepdhcpdhcp-devel-3.0.5-7.el5dhcpv6_client-0.10-33.el5dhcp-3.0.5-7.el5dhcpv6-0.10-33.el5[root@dhcpServer]#rpm-ivhdhcp-3.0.5-7.el5.i386.rpm[root@dhcpServer]#rpm-ivhdhcp-devel-3.0.5-7.el5.i386.rpm[root@dhcpServer]#rpm-qa|grepdhcpdhcp-devel-3.0.5-7.el5dhcpv6_client-0.10-33.el5dhcp-3.0.5-7.el5=3\*GB2⑶復(fù)制樣本文件到DHCP配置文件中：[root@dhcpServer]#cp/usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample/etc/dhcpd.conf=4\*GB2⑷對DHCP配置文件進(jìn)行相應(yīng)配置并保存：[root@dhcpServer]#vi/etc/dhcpd.confddns-update-styleinterim;ignoreclient-updates;subnet1netmask{#defaultgatewayoptionrouters54;optionsubnet-mask;#optionnis-domain"";#optiondomain-name"";#optiondomain-name-servers1; optiontime-offset-18000;#EasternStandardTime#optionntp-servers1;#optionnetbios-name-servers1;#Selectspoint-to-pointnode(defaultishybrid).Don'tchangethisunless#--youunderstandNetbiosverywell#optionnetbios-node-type2; rangedynamic-bootp52;rangedynamic-bootp52;rangedynamic-bootp52;rangedynamic-bootp52;rangedynamic-bootp52;rangedynamic-bootp52;rangedynamic-bootp52; default-lease-time21600; max-lease-time43200; #wewantthenameservertoappearatafixedaddress hostns{ next-server; hardwareethernet12:34:56:78:AB:CD; fixed-address54; }}:wq=5\*GB2⑸啟動DHCP服務(wù)器。[root@dhcpServer]#servicedhcpdstart=1\*GB2⑴配置主DNS服務(wù)器首先我們做以下假設(shè)：A服務(wù)器為n的主域名服務(wù)器，其IP地址為0，B服務(wù)器為的輔助域名服務(wù)器，其IP地址為1；下面我們配置服務(wù)器0為的主DNS服務(wù)器Linux下的dns功能是通過bind軟件實(shí)現(xiàn)的。bind軟件安裝后，會產(chǎn)生幾個(gè)固有文件，分為兩類，一類是配置文件在/etc目錄下，一類是dns記錄文件在/var/named目錄下。加上其他相關(guān)文件，共同設(shè)置dns服務(wù)器。位于/etc目錄下主要有：resolv.conf,named.conf。①“resolv.conf”文件，“nameserver192.268.10.50”。文件內(nèi)容：nameserver192.268.10.50//它的首選DNS，和WINDOWS類似②named.conf文件。named.conf是dns配置的核心文件。#named.conf-configurationforbind##Generatedautomaticallybybindconf,alchemistetal.controls{inetallow{localhost;}keys{rndckey;};};include"/etc/rndc.key";options{directory"/var/named/";};zone"."{typehint;file"named.ca";};zone"0.0.127."{typemaster;file"0.0.127..zone";};zone"localhost"{typemaster;file"localhost.zone";};添加下面一段內(nèi)容就好,如下：zone""{typemaster;file"db.zone";};以上語句表示域的DNS數(shù)據(jù)存放在/var/named/目錄下的db..zone中；#vi/var/named/db.$TTL86400@INSOAdns..root..(20071103;serial28800;refresh7200;retry604800;expire86400;ttl)@INNSdns.wwwINA192.268.10.50（將www.解析到地址192.268.10.50）該文件的前部分是相應(yīng)的參數(shù)設(shè)置，此部分不需要改動，后面的部分就是具體的DNS數(shù)據(jù)；=2\*GB2⑵配置輔助DNS服務(wù)器配置服務(wù)器192.268.10.51為將輔助dns服務(wù)器輔助DNS服務(wù)器，可從主服務(wù)器中轉(zhuǎn)移一整套域信息。區(qū)文件是從主服務(wù)器中轉(zhuǎn)移出來的，并作為本地磁盤文件存儲在輔助服務(wù)器中。在輔助服務(wù)器中有域信息的完整拷貝，所以也可以可以回答對該域的查詢。這部分的配置內(nèi)容如下：zone"lave;file"db..zone";masters{192.268.10.51;};};完成配置后啟動服務(wù)器。Linux下的WEB服務(wù)器采用Apache。Apache是世界使用排名第一的Web服務(wù)器。它可以運(yùn)行在幾乎所有廣泛使用的計(jì)算機(jī)平臺上。由于其跨平臺和安全性被廣泛使用，是最流行的Web服務(wù)器端軟件之一。=1\*GB2⑴安裝Apache：[root@localhost/